站长

新的僵尸物联网攻击流量之王:Mozi

作者:admin 2021-08-07 我要评论

根据IBM本周的报道,近来崛起的僵尸网络Mozi推动了物联网(IoT)僵尸网络活动的显著增长。 IBM的研究人员指出,Mozi的代码与Mirai及其变体重叠,并重用Gafgyt代码...

在说正事之前,我要推荐一个福利:你还在原价购买阿里云、腾讯云、华为云服务器吗?那太亏啦!来这里,新购、升级、续费都打折,能够为您省60%的钱呢!2核4G企业级云服务器低至69元/年,点击进去看看吧>>>)

根据IBM本周的报道,近来崛起的僵尸网络Mozi推动了物联网(IoT)僵尸网络活动的显著增长。

IBM的研究人员指出,Mozi的代码与Mirai及其变体重叠,并重用Gafgyt代码,在过去的一年里迅速“登上王座”,在2019年10月至2020年6月期间观察到的物联网网络攻击流量中占90%(下图),不过Mozi并没有试图将竞争对手从被侵入的系统中删除。

IoT物联网攻击的急剧增加的主要原因是全球IoT设备数量增加,从而扩大了攻击面。IBM指出,目前全球约有310亿台IoT设备,每秒钟部署大约127台设备。

IBM认为Mozi的成功基于命令注入(CMDi)攻击的使用,利用了物联网设备的配置错误。

几乎所有观察到的针对IoT设备的攻击都使用CMDi进行初始访问。Mozi利用CMDi,使用“wget”shell命令,然后篡改权限,以方便攻击者与目标系统进行交互。

在易受攻击的设备上,下载了名为“mozi.a”的文件,然后在MIPS体系结构上执行。攻击目标是运行缩减指令集计算机(RISC)体系结构的机器–MIPS是RISC指令集体系结构–并且可以为对手提供修改固件以安装其他恶意软件的能力。

Mozi的传播利用了许多设备的漏洞,包括:

  • CVE-2017-17215(华为 HG532)
  • CVE-2018-10561/CVE-2018-10562(GPON 路由器)
  • CVE-2014-8361(Realtek SDK)
  • CVE-2018-10562(GPON路由器)
  • CVE-2014-8361(Realtek SDK)
  • CVE-20 2008-4873 (Sepal SPBOARD)
  • CVE-2016-6277(Netgear R7000/R6400)
  • CVE-2015-2051(D-Link 设备)
  • Eir D1000无线路由器命令注入
  • Netgear setup. cgi未身份验证RCE
  • MVPower DVR命令执行
  • D-Link UPnP SOAP命令执行
  • 影响多个CCTV-DVR供应商的RCE

Mozi僵尸网络是基于分布式草率哈希表(DSHT)协议的点对点(P2P)僵尸网络,它可以通过IoT设备漏洞和弱telnet密码进行传播。研究人员指出,Mozi主要利用位于中国的基础设施(84%),能够使用硬编码列表暴力破解telnet账户凭据。

Mozi使用ECDSA384(椭圆曲线数字签名算法 384)来检查其完整性,并包含一组硬编码DHT公共节点,可用于加入P2P网络。

僵尸网络可用于启动分布式拒绝服务(DDoS)攻击(HTTP、TCP、UDP),可以启动命令执行攻击,可以提取和执行其他有效负载,还可以收集bot信息。

“随着较新的僵尸网络(如Mozi)的加速运营和整体IoT物联网攻击活动激增,使用物联网设备的企业需要意识到不断变化的威胁。命令注入仍然是攻击者的首选主要感染媒介,更改设备默认设置和使用有效的渗透测试无论如何强调都不过分。”IBM总结道。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

【责任编辑:赵宁宁 TEL:(010)68476606】
本文转载自网络,原文链接:http://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651092633&idx=3&sn=639101f6888a7925b4969aae6cc97dbe&chksm=bd14c64a8a634f5cc6829ab660f4077dc09d1bf06ec833cfac8f046c84651e1801f289d61226&mpshare=1&s

版权声明:本文转载自网络,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。本站转载出于传播更多优秀技术知识之目的,如有侵权请联系QQ/微信:153890879删除

相关文章
  • 新的僵尸物联网攻击流量之王:Mozi

    新的僵尸物联网攻击流量之王:Mozi

  • 企业管理层如何支持首席信息安全官改善

    企业管理层如何支持首席信息安全官改善

  • 等保2.0高风险项之安全的区域边界

    等保2.0高风险项之安全的区域边界

  • 一开放服务器现Bing移动应用数据:百万

    一开放服务器现Bing移动应用数据:百万